Blog WatchGuard

Comment appréhender les résultats du MITRE

MITRE ATT&CK Engenuity émule des groupes de menaces connus inspirés par la cyber intelligence accessible au public. Les organisations doivent les utiliser pour déterminer quelles solutions répondent le mieux à leurs lacunes en matière de cybersécurité, complètent leurs systèmes de protection déployés et correspondent à leurs besoins et capacités spécifiques.

Le 20 septembre, MITRE Engenuity a publié ses résultats du cinquième tour. Aujourd'hui, nous avons le plaisir de partager les résultats de notre première année de participation à cette évaluation. Ce cycle s'est concentré sur le comportement de l'adversaire connu sous le nom de Turla, un groupe de menaces bien connu qui est basé en Russie. Nous vous invitons à découvrir les résultats détaillés dans ce rapport technique afin de les interpréter au mieux.

L'évaluation comprend deux tests : Évaluation de détection et de prévention.

Dans le cadre de cette évaluation, nous avons proposé WatchGuard EDR, conçu pour compléter les solutions de protection des endpoints existants. WatchGuard EDR ne dispose pas de technologies préventives telles que l'intelligence collective dans le Cloud, la détection contextuelle, les anti-exploits, etc., qui font partie de WatchGuard EPDR. Par conséquent, les résultats de cette évaluation ne reflètent pas toutes nos capacités de protection.

Évaluation relative à tout ce qui a trait à la détection

MITRE Engenuity simule le processus d'attaque, en se concentrant sur la visibilité donnée par les solutions évaluées au travers de la télémétrie pour une analyse plus approfondie ou en ajoutant un contexte supplémentaire grâce à l'analyse. La télémétrie ou l'analyse nécessitent un traitement par une équipe spécialisée en opérations de sécurité pour enquêter et répondre à l'attaquant ainsi qu’améliorer les capacités préventives à l'avenir, en recherchant une meilleure protection automatisée.

Lors des tests, l’attaquant n’a pu être bloqué. Il ne s’agit pas d’un test permettant d’évaluer les capacités automatisées de prévention, de détection et de réponse. Le test évalue uniquement la visibilité du comportement de l'attaquant grâce à la télémétrie ou l'identification de la technique MITRE ATT&CK (analytique).

De nombreuses personnes ne verront que des résumés des résultats de détection. Cependant, il est essentiel de prêter attention à d’autres informations qui aident les équipes de sécurité à prendre des décisions avisées :

  • Type de visibilité. La couverture analytique fournit des détections riches qui ajoutent du contexte grâce au mapping des techniques MITRE ATT&CK et aux descriptions d'alertes. La couverture télémétrique est utile pour les threat hunters  et les intervenants qui doivent, en cas d'incident, approfondir le comportement des acteurs menaçants.
     
  • Modifications de configuration. Un modificateur « changement de configuration » signifie que le fournisseur a ajusté le capteur, le traitement des données ou l'UX pour afficher la détection pendant les tests. En d’autres termes, le produit ne s’est pas comporté comme dans un environnement réel.
     
  • Efficacité opérationnelle. Lors de la conception d'une solution efficace de sécurité des endpoints, le principe clé consiste à équilibrer le rapport signal/bruit. En théorie, créer une solution permettant une détection à 100 % est simple : il suffit de détecter « tout » ce qui peut être très bruyant et entraîner de nombreux faux positifs. Bien entendu, une telle solution serait quasiment inutile.

Nous vous recommandons également d'évaluer si une couverture à 100 % des sous-étapes est ce dont votre organisation a besoin en fonction de la capacité de votre équipe de sécurité et du bruit inhérent aux faux positifs générés par la solution, en tenant compte des recommandations suivantes :  
 

1. Vous ne disposez pas d’une équipe dédiée aux opérations de sécurité 

Votre stratégie de sécurité doit être basée sur les éléments suivants : 

  • Plusieurs couches de sécurité du réseau jusqu’aux endpoints.
  • La mise en place de capacités automatisées de prévention, de détection et de réponse (EPP et EDR)
  • Complétée par des capacités de MDR (Managed Detection and Response)

2. Vous disposez d’une équipe dédiée aux opérations de sécurité  

Votre stratégie de sécurité doit reposer sur un bon équilibre entre prévention, détection et réponse gérée par une équipe des opérations de sécurité avec une charge de travail rationalisée. 

Ces organisations peuvent être submergées par des solutions inefficaces. Les solutions EDR bruyantes créent trop de faux positifs et trop d'alertes à gérer.

3. Vous disposez d'une équipe de sécurité mature avec des compétences MDR 

Vos threat hunters peuvent utiliser leurs propres outils en s'appuyant sur les données détaillées de télémétrie.

Apprenez-en d’avantage sur nos solutions de sécurité des endpoints, en particulier WatchGuard EPDR, notre approche de sécurité en couches, comprenant les services Zero Trust Application et Threat Hunting, qui détectent et bloquent les menaces provenant des technologies EDR sans intervention d'une équipe d'opérations de sécurité. Découvrez aussi les différences entre WatchGuard EDR et WatchGuard EPDR.

Source : https://www.forrester.com/blogs/mitre-attck-evals-getting-100-coverage-is-not-as-great-as-your-vendor-says-it-is/